Analista afirma que Android e Windows Mobile estão vulneráveis.
Recebimento de torpedo ‘defeituoso’ permite invasão de celulares.

31/07/09 – 10h30
Do G1, em São Paulo

O especialista em segurança Charlie Miller revelou, nesta quarta-feira (30), como pessoas mal-intencionadas podem usar torpedos (mensagens de texto) para invadir o celular multimídia iPhone, da Apple, além de aparelhos com as plataformas Android, do Google, e Windows Mobile, da Microsoft. Apesar de as atenções terem se voltado para o iPhone, esses outros portáteis também estão vulneráveis.

Durante o evento de segurança Black Hat, realizado em Las Vegas, o analista da Independent Security Evaluators cumpriu sua promessa e revelou detalhes de como o ataque pode ser realizado.

Segundo a “Business Week”, ele explicou que a invasão está baseada no envio de uma mensagem de texto “defeituosa”, que “confunde” o portátil, fazendo com que ele gerencie os dados do torpedo de uma forma diferente da tradicional. Assim, o celular se torna vulnerável e poder ser “sequestrado” por pessoas mal-intencionadas.

“Os celulares aceitam as mensagens de texto e sempre processam os dados nelas contidos”, explicou Miller. Se conseguirem explorar a falha e invadir o aparelho, golpistas podem fazer ligações, visitar sites, ligar a câmera, o microfone e ainda enviar mais mensagens para disseminar a invasão entre os iPhones.

As mensagens associadas à fraude, divulgou a “Forbes”, exibem apenas um quadrado. Caso os usuários recebam uma mensagem desse tipo, devem desligar rapidamente o celular — o recebimento do torpedo funciona como um alerta de que alguém está tentando tirar proveito da brecha.

Solução

À “Forbes”, Miller disse acreditar na importância da exposição da falha antes que ela seja explorada por pessoas mal-intencionadas.

Ele também afirmou ter avisado a Apple e a operadora de telefonia AT&T sobre o problema e ter dado às empresas tempo para resolvê-lo. “Como pesquisador, posso apenas mostrar a brecha. Cabe a eles consertá-la”, continuou, dizendo ter dado à Apple “mais tempo [para uma solução] do que já dei para qualquer outra empresa”.

Segundo Miller, somente a operadora de telefonia móvel e o fabricante podem eliminar a falha. Ele afirma que as operadoras podem filtrar as mensagens, bloqueando aquelas associadas a possíveis golpes, enquanto as responsáveis pelos aparelhos com sistemas operacionais vulneráveis podem corrigir o código, eliminando assim a brecha.

A boa notícia, diz a “Business Week” é a dificuldade na exploração do problema. “É extremamente complicado. Levei duas semanas e meia para desenvolver um código [que tirasse proveito da falha”, disse Miller.